Das Thema „One-Stop-Shop“ wurde sowohl im Europäischen Parlament als auch im Rat intensiv diskutiert.
In seinem Beschluss vom März 2014 befürwortet das Parlament den von der Kommission vorgeschlagenen Ansatz einer „federführenden Datenschutzbehörde“, sprach sich aber zugleich für eine stärkere Rolle des Europäischen Datenschutzausschusses - dem Nachfolgegremium der jetzigen Artikel-29-Gruppe - aus. Dieser soll in
Einzelfällen einen Beschluss fassen können, der für die zuständigen nationalen Aufsichtsbehörden verbindlich
ist. Das Parlament wendet sich mit diesem Ansatz gegen die im Ursprungsentwurf der DSGVO vorgesehene
Befugnis für die Kommission, Durchführungsrechtsakte „zur ordnungsgemäßen Anwendung der Verordnung“
in Fällen erlassen zu können, an denen mehrere Aufsichtsbehörden im Rahmen des Kohärenzverfahrens beteiligt sind (vgl. zum Begriff des Durchführungsrechtsaktes Nr. 3.1.1).
Auch auf Ratsebene wurde das Thema „One-Stop-Shop“ im Berichtszeitraum intensiv beraten. Ein erstes substanzielles Zwischenergebnis konnte die litauische Präsidentschaft auf dem Rat der Innen- und Justizminister im
Oktober 2013 erreichen. Die Mitgliedstaaten stimmten der Grundidee eines „One-Stop-Shop“-Mechanismus zu,
der eine einheitliche und unbürokratische Entscheidung der federführenden Behörde am Ort der EU-Hauptniederlassung des Verantwortlichen in „wichtigen grenzüberschreitenden Fällen“ ermöglichen soll.
Bei den Verhandlungen blieb allerdings die Frage offen, wie weit die Entscheidungsbefugnis der federführen den Behörde geht. Zudem konnte keine Einigung darüber erzielt werden, welche Kompetenzen der künftige Europäische Datenschutzausschuss haben soll, falls sich die an einem multilateralen Verfahren beteiligten Aufsichtsbehörden nicht auf eine einheitliche Vorgehensweise einigen. Nach Auffassung eines Teils der Mitglied staaten, einschließlich Deutschlands, soll der Ausschuss verbindliche Entscheidungen zur Anwendung der
DSGVO treffen können. Andere Mitgliedstaaten plädieren für stärkere Entscheidungsbefugnisse der federführenden Behörde.
Im Mittelpunkt der Beratungen stand darüber hinaus die Frage, wie das Modell der zentralen Anlaufstelle mit
größtmöglicher Bürgernähe ausgestaltet werden kann: Die Bürgerinnen und Bürger sollen sich mit ihren Fragen
und Beschwerden immer an „ihre“ Datenschutzbehörde vor Ort wenden können und sollen sich nicht um Zu ständigkeitsfragen oder Abstimmungsmechanismen kümmern müssen. Dies führte in den Ratsverhandlungen
notwendigerweise zu der Frage, wie die unterschiedlichen Datenschutzbehörden am Sitz des Unternehmens und
am Wohnort der Betroffenen zu einheitlichen Entscheidungen kommen können. Der Juristische Dienst des Rates schlug deshalb in einem Gutachten im Dezember 2013 vor, dem Europäischen Datenschutzausschuss in bestimmten Fällen verbindliche Entscheidungsbefugnisse zu übertragen, in denen aufsichtsbehördliche Maßnahmen allein durch lokale Behörden nicht ausreichten.
Daraufhin entwickelte die italienische Ratspräsidentschaft ein Modell, das die Kontrolle und Ahndung von Verstößen gegen die DSGVO sowie die Bearbeitung von Bürgerbeschwerden grundsätzlich bei den nationalen Behörden belässt, diese aber in grenzüberschreitenden Fällen dazu verpflichtet, mit der federführenden Aufsichtsbehörde am Ort der EU-Hauptniederlassung des Datenverarbeiters zusammenzuarbeiten. Zudem sollen nach
diesem Ansatz nicht nur die nationalen Behörden, sondern konsequenterweise auch die nationalen Gerichte für
Beschwerdeverfahren von Einzelpersonen zuständig bleiben. Der Europäische Datenschutzausschuss soll - ähnlich der Position des Europäischen Parlaments - die Rolle einer Streitschlichtungsinstanz einnehmen, die verbindlich entscheiden kann, falls sich die federführende Behörde und mitbetroffene nationale Behörden nicht auf
eine gemeinsame Vorgehensweise einigen können.
An den Beratungen zum „One-Stop-Shop“ und der künftigen Rolle des Europäischen Datenschutzausschusses
habe ich mich intensiv sowohl auf nationaler als auch auf europäischer Ebene beteiligt. So hat auf meine Initia tive hin die Datenschutzkonferenz im März 2014 eine Entschließung zur Struktur der künftigen Datenschutzaufsicht in Europa angenommen (vgl. Anlage 7). Darin spricht sie sich für verbindliche Entscheidungsbefugnisse
des Europäischen Datenschutzausschusses aus.
– 30 –
BfDI 25. Tätigkeitsbericht 2013-2014